WinPcap 原理技术 w inpcap 是w indow s 平台下一个免费,公共的网络访问系统。开发w inpcap 这个项目的目的在于为w in32 应用程序提供访问网络底层的能力。 1、网络及协议分析 2、网络监控 3、通信日志记录 4、traffic generators 5、用户级别的桥路和路由 6、网络入侵检测系统(NIDS) 7、网络扫描 8、安全工具 WinPcap 导入 WinPcap 是一个开源的专业网络数据捕获开发包,其实,WinPcap 的强大功能并不仅限于数据包的获取,主要功能: 捕获原始数据包,包括在共享网络上各主机发送/接收的以及相互之间交换的数据包; 在数据包发往应用程序之前,按照自定义的规则将某些特殊的数据包过滤掉; 在网络上发送原始的数据包; 收集网络通信过程中的统计信息。 Sniffer 嗅探原理 Winpcap 是针对Win32 平台上的抓包和网络分析的一个架构。它包括一个核心态的包过滤器,一个底层的动态链接库(packet.dll)和一个高层的不依赖于系统的库(w pcap.dll) Packet.dll 提供更方便更易用的编程接口,w pcap.dll 中的接口函数 Sniffer 嗅探器,是一种基于被动侦听原理的网络分析方式。使用这种技术方式,可以监视网络的状态、数据流动情况以及网络上传输的信息。 当信息以明文的形式在网络上传输时,便可以使用网络监听的方式来进行攻击。将网络接口设置在监听模式,便可以将网上传输的源源不断的信息截获。Sniffer 技术常常用于网络故障诊断、协议分析、应用性能分析和网络安全保障等各个领域。 实现Sniffer 功能函数序列 第一步:获取网络设备指针 pcap_findalldev s_ex () 第二步:打开网卡 pcap_open() 第三步: 检查链路层 pcap_datalink() 第四步: 编译 BPF 过滤规则 pcap_compile 第五步: 设置过滤规则 pcap_setfilter 第六步: 注册回调函数,循环捕获数据包 pcap_loop() 第七步: 释放网络设备列表 pcap_freealldev s() 第八步: 关闭 WinPcap 会话句柄 pcap_close() 获取网络设备指针 (查找机器的所有网络设备接口,并使用链表结构返回) 打开网络设备 (打开一个用来捕获或发送流量的通用源(网卡)) 检查链路 3 层类型 (检查链路层类型) 编译 BFP 过滤规则 (编译数据包过滤器,将程序中高级的过滤表达式(即过滤规则字符串)转换为能被内核级的过滤引擎所处理的内容) 执行过滤规则 (把一个过滤器绑定到Win Pcap 会话句柄) 注册回调函数,循...
